DHCP中继代理+访问控制ACL

实现目标：

 集团酒店客房划入vlan10、采用dhcp动态分配ip，DHCP服务器架设在数据中vlan1。酒店财务单独vlan。

限制vlan10用户访问数据中心和集团内网。

集团内网包括三个***分支机构（10.0.0.0 0.0.3.255）、

15个分公司vlan（192.168.0.0 0.0.15.255）

 

实现硬件：

        华为系列三层交换机

        数据中心光纤直连核心交换机（做端口汇聚和负载均衡）

        vlan10连接汇聚层 汇聚层和核心千兆光纤级联。

 

实现方法：

      1、dhcp服务部署在域成员服务器中，两台，以便负载均衡。

            且在域中授权，启用dhcp保留、用户类别，灵活调整dns、地址租约

      2、核心交换机创建vlan10并配置管理ip

       vlan10

       interface vlan 10

       ip address 192.168.10.1 255.255.255.0

     3、在汇聚层二层交换机创建vlan10并添加端口

         vlan 10

         port ethernet0/45

     4、在trunk上允许vlan10通过

         首先在二层交换上

         interface GigabitEthernet 1/1

         port trunk permit vlan 10

         再在三层核心上

         interface GigabitEthernet 4/3

         port trunk permit vlan 10

     5、三层核心交换机启用dhcp中继应用到vlan10

       dhcp-server 0 ip 192.168.1.19 192.168.1.18

        interface vlan 10

        dhcp-server 0

     6、三层核心交换机ACL限制访问数据中心

          acl name hotel advanced match-order auto

         rule 0 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.10.1 0 destination-port eq telnet

//禁止vlan10用户telnet 交换机

         rule 1 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.1.1 0 destination-port eq telnet

//禁止vlan用户telnet交换机

         rule 2 permit udp source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

         rule 3 permit tcp  source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

         rule 4 permit ip    source 192.168.10.0 0.0.0.255 destination 192.168.10.0 0.0.0.255

//允许vlan10 访问vlan10 由于后面的acl采用0.0.15.255通配符掩码 所以导致dhcp获取过程很慢 所以必须加以上三条

        rule 5 deny udp  source 192.168.10.0 0.0.0.255 destination 192.168.0.0 0.0.15.255

        rule 6 deny tcp   source 192.168.10.0 0.0.0.255  destination 192.168.0.0 0.0.15.255

        rule 7 deny ip     source 192.168.10.0 0.0.0.255  destination 192.168.0.0 0.0.15.255

//禁止酒店用户访问内网

        rule 8 deny tcp source 192.168.10.0  0.0.0.255  destination 10.0.0.0 0.0.3.255

        rule 9 deny udp source 192.168.10.0 0.0.0.255 destination 10.0.0.0 0.0.3.255

        rule 10 deny ip source   192.168.10.0 0.0.0.255 destination 10.0.0.0 0.0.3.255

//禁止酒店用户访问***分支机构

         <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

 通过以上，以上功能基本实现，由于时间问题有些步骤省略了！

             

 

       

       

     

         

 

 

转载于:https://blog.51cto.com/coolfire/234780